[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[LCFC] ddp://manuals.sgml/securing-howto/fr/after-compromise.sgml



Simon Valiquette un jour écrivit:

Comme il y a eu plusieurs modifications, dont quelques-unes de moi-même, je passe en RFR2.

Simon Valiquette



Uniquement quelques fautes de corrigées, un peu de formatage et un mauvais lien de corrigé, alors je passe en LCFC.

Simon Valiquette

Index: securing-howto/fr/after-compromise.sgml
===================================================================
RCS file: /cvs/debian-doc/ddp/manuals.sgml/securing-howto/fr/after-compromise.sgml,v
retrieving revision 1.11
diff -U 500 -r1.11 after-compromise.sgml
--- securing-howto/fr/after-compromise.sgml	6 Nov 2005 18:16:59 -0000	1.11
+++ securing-howto/fr/after-compromise.sgml	16 Dec 2008 10:16:18 -0000
@@ -1,189 +1,234 @@
-<!-- CVS revision of original english document "1.9" -->
+<!-- Subversion revision of original English document "4092" -->
 
 <chapt id="after-compromise">Après la compromission (la réponse à l'incident)
 <!-- AA After the compromise -->
 
-
 <sect>Comportement général
 
 <p>Si vous êtes physiquement présent quand l'attaque se déroule et que faire
 ce qui suit n'a pas d'effet fâcheux sur vos transactions commerciales, 
 votre première réaction devrait être de débrancher simplement la machine du
 réseau en débranchant la carte réseau.
-<!-- jusqu'a ce que vous puissiez comprendre ce que l'intrus a fait et de sécuriser -->
+<!-- jusqu'à ce que vous puissiez comprendre ce que l'intrus a fait et de sécuriser -->
 <!-- votre machine -->
 La désactivation du réseau à la première couche est le seul vrai moyen
 de garder un attaquant en dehors d'une machine compromise (conseil avisé de Phillip Hofmeister).
 
-<p>Cependant, certains rootkits ou accès cachés sont capables de détecter cet
-événement et d'y réagir. Voir un <tt>rm -rf /</tt> s'exécuter quand vous
+<p>Cependant, certains outils installés à l'aide d'un <em>rootkit</em>, d'un
+cheval de Troie ou même d'un utilisateur malhonnête connecté via une porte dérobée
+(backdoor), pourraient être capables de détecter cet évènement et d'y réagir.
+Voir un <tt>rm -rf /</tt> s'exécuter au moment de
 débranchez le réseau du système n'est pas vraiment très drôle. Si vous ne
-désirez pas prendre le risque et que vous êtes sûr que le système est compromis,
-vous devriez <em>débrancher le câble d'alimentation</em> (tous les câbles
-d'alimentation s'il y en a plusieurs) et croiser les doigts. Ceci peut être
+désirez pas prendre ce risque et que vous êtes certain que le système est compromis,
+vous devriez <em>débrancher le câble d'alimentation</em> (voire tous,
+s'il y en a plusieurs) et croiser les doigts. Ceci peut sembler
 extrême, mais en fait cela désamorcera toute bombe à retardement que l'intrus pourrait
 avoir programmé. Dans ce cas, le système compromis <em>ne doit pas être
 redémarré</em>. Soit le disque dur devrait être déplacé sur un autre système
-pour analyse, soir vous devriez utiliser un autre support (un CD-ROM) pour
-amorcer le système et pour l'analyser. Vous <em>ne devez pas</em> utiliser les
+pour analyse, soit vous devriez utiliser un autre support (un CD-ROM) pour
+amorcer le système et pour l'analyser. Vous <em>ne devriez pas</em> utiliser les
 disquettes de récupération de Debian pour amorcer le système, mais vous
 <em>pouvez</em> utiliser le shell fourni par les disquettes d'installation
-(rappelez-vous que Alt+F2 vous y amènera) pour analyser le système.
-
-<footnote>
-Si vous êtes aventureux, vous pouvez vous connecter au système et sauver les
+(rappelez-vous que Alt+F2 vous y amènera) pour analyser<footnote>Si vous
+êtes aventureux, vous pouvez vous connecter au système et sauver les
 informations sur tous les processus en fonctionnement (vous en aurez beaucoup dans
 /proc/nnn/). Il est possible d'avoir l'intégralité du code exécutable depuis la
 mémoire, même si l'attaquant a supprimé les fichiers exécutables du disque. Puis
-tirez sur le cordon d'alimentation.
-</footnote>
+tirez sur le cordon d'alimentation.</footnote>
+le système.
 
 <p>La méthode la plus recommandée pour récupérer un système compromis est
-d'utiliser un système de fichiers autonome sur un CD-ROM avec tous les outils (et
+d'utiliser un CD autonome avec tous les outils (et
 les modules du noyau) dont vous pouvez avoir besoin pour accéder au système
 compromis. Vous pouvez utiliser le paquet <package>mkinitrd-cd</package> pour
 construire un tel CD-ROM<footnote>En fait, c'est l'outil utilisé pour construire
 les CD-ROM pour le projet <url id="http://www.gibraltar.at/"; name="Gibraltar">
 (un pare-feu sur un CD-ROM autonome basé sur la distribution
 Debian).</footnote>. Vous pourriez également trouver que le CD-ROM <url
 id="http://biatchux.dmzs.com/"; name="FIRE"> (anciennement appelé Biatchux)
 est utile ici, car il s'agit aussi d'un CD-ROM autonome avec des outils
-d'analyse post-mortem utiles dans ces situations. Il n'y a pas (encore) d'outil
+d'analyse post mortem utiles dans ces situations. Il n'y a pas (encore) d'outil
 basé sur Debian comme celui-ci, ni de moyen simple de construire un CD-ROM en
 utilisant votre propre sélection de paquets Debian et
 <package>mkinitrd-cd</package> (vous devrez donc lire la documentation fournie
 avec celui-ci pour faire vos propres CD-ROM).
 
-<p>Si vous voulez corriger la compromission vraiment rapidement, vous devriez
+<p>Si vous voulez colmater la brèche de sécurité vraiment rapidement, vous devriez
 retirer l'hôte compromis du réseau et réinstaller le système d'exploitation à
 partir de zéro. Cela pourrait n'avoir aucun effet si vous ne savez pas comment
 l'intrus a obtenu les droits du superutilisateur. Dans ce cas vous devez tout vérifier&nbsp;: pare-feu,
 intégrité des fichiers, les différents journaux de l'hôte de journalisation, etc. Pour
 plus d'informations sur quoi faire après une intrusion, reportez-vous aux documents
-<url name="Sans' Incident Handling Guide" id="http://www.sans.org/y2k/DDoS.htm";> ou
-<url id="http://www.cert.org/tech_tips/root_compromise.html";
+<url name="SANS' Incident Handling white papers"
+id="http://www.sans.org/reading_room/whitepapers/incident/";> ou
+<url id="http://www.cert.org/tech_tips/win-UNIX-system_compromise.html";
 name="CERT's Steps for Recovering from a UNIX or NT System Compromise">.
 
 <p>Certaines questions générales sur comment gérer un système Debian GNU/Linux
 compromis sont également disponibles dans <ref id="vulnerable-system">.
 
-<sect>Sauvegarde du système
+<sect>Copies de sauvegarde du système
 
-<p>Rappelez-vous que si vous êtes sûr que le système a été compromis, vous
+<p>Rappelez-vous que si vous êtes certain que le système a été compromis, vous
 ne pouvez pas faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle
-autre information qu'il vous donne. Les applications pourraient contenir un
-trojan, des modules noyau pourraient être installés, etc.
+autre information qu'il vous donne. Les applications pourraient dissimuler un
+cheval de Troie, des modules pourraient être installés dans le noyau, etc.
 
 <p>La meilleure chose à faire est une sauvegarde complète du système de fichiers
-(en utilisant <prgn>dd</prgn>) après avoir démarré depuis un média sûr. Les CD-ROMs 
-Debian GNU/Linux peuvent être utiles pour cela car ils fournissent un shell en
-console 2 quand l'installation est commencée (allez-y en utilisant Alt+2 et en
-appuyant sur la touche Entrée). Le shell peut être utilisé pour sauvegarder les
-informations vers un autre endroit si possible (peut-être un serveur de fichier réseau à 
-travers NFS/FTP...) pour analyse pendant que le système affecté est hors-ligne (ou 
-réinstallé).
-
-<p>Si vous êtes sûr qu'il y a seulement un module noyau trojan, vous pouvez 
-essayer d'exécuter l'image noyau du CD-ROM en mode <em>rescue</em>. Assurez-vous
-aussi de démarrer en mode <em>single</em> de façon à ce qu'aucun autre processus
-trojan ne s'exécute après le noyau.
+(en utilisant <prgn>dd</prgn>) après avoir démarré depuis un média sûr.
+Les cédéroms Debian GNU/Linux peuvent être utiles en cela, car une
+console en mode texte est disponible dans le deuxième terminal une fois
+l'installateur démarré (allez-y en pressant CTRL+ALT+F2 suivi de la touche
+«&nbsp;Entrée&nbsp;»). À partir de cette console, sauvegardez les
+informations vers un autre endroit si possible (possiblement sur un
+serveur de fichiers via NFS ou FTP). Par la suite, vous pourrez analyser
+l'information pendant que le système compromis est hors-ligne ou réinstallé.
+
+<p>Si vous êtes certain que la seule chose que vous ayez est un cheval de
+Troie dans l'un des modules du noyau, vous pouvez tenter d'exécuter le noyau
+à partir du CD-ROM en mode <em>rescue</em>. Assurez-vous aussi de démarrer en
+mode <em>single user</em> de façon à ce qu'aucun autre cheval de Troie
+ne s'exécute après le redémarrage.
 
 <sect>Contacter votre CERT local
 <p>Le CERT (<em>Computer and Emergency Response Team</em>) est une organisation
 qui peut vous aider à récupérer un système compromis. Il y a des
 CERT partout dans le monde
 <footnote>
-Voici une liste de quelques CERT, pour la liste complète, consultez le
-<url id="http://www.first.org/about/organization/teams/index.html"; name="FIRST Member Team
-		information"> (FIRST est le <em>Forum of Incident Response and Security Teams</em>)&nbsp;:
+Voici une liste de quelques CERT. Pour la liste complète, consultez le
+<url id="http://www.first.org/about/organization/teams/index.html";
+name="FIRST Member Team information">
+(FIRST est le <em>Forum of Incident Response and Security Teams</em>)&nbsp;:
 <url id="http://www.auscert.org.au"; name="AusCERT"> (Australie),
 <url id="http://www.unam-cert.unam.mx/"; name="UNAM-CERT"> (Mexique)
 <url id="http://www.cert.funet.fi"; name="CERT-Funet"> (Finlande),
 <url id="http://www.dfn-cert.de"; name="DFN-CERT"> (Allemagne), 
 <url id="http://cert.uni-stuttgart.de/"; name="RUS-CERT"> (Allemagne),
-+ <!--FIXME URL -->
-<url id="http://idea.sec.dsi.unim.it"; name="CERT-IT"> (Italie),
+<url id="http://security.dico.unimi.it/"; name="CERT-IT"> (Italie),
 <url id="http://www.jpcert.or.jp/"; name="JPCERT/CC"> (Japon),
 <url id="http://cert.uninett.no"; name="UNINETT CERT"> (Norvège),
 <url id="http://www.cert.hr"; name="HR-CERT"> (Croatie)
-<url id="http://www.cert.pl"; name="CERT Polskay"> (Pologne),
+<url id="http://www.cert.pl"; name="CERT Polska"> (Pologne),
 <url id="http://www.cert.ru"; name="RU-CERT"> (Russie),
 <url id="http://www.arnes.si/si-cert/"; name="SI-CERT"> (Slovénie)
 <url id="http://www.rediris.es/cert/"; name="IRIS-CERT"> (Espagne),
 <url id="http://www.switch.ch/cert/"; name="SWITCH-CERT"> (Suisse),
 <url id="http://www.cert.org.tw"; name="TWCERT/CC"> (Taiwan), 
 et
 <url id="http://www.cert.org"; name="CERT/CC"> (États-Unis).
 </footnote>
 et vous devriez contacter votre CERT local en cas d'incident de sécurité qui a
 conduit à une compromission système. Les personnes du CERT local peuvent vous
 aider à le récupérer.
 
 <p>Fournir à votre CERT (ou au centre de coordination CERT) des informations sur
 la compromission même si vous ne demandez pas d'aide peut également aider
 d'autres personnes car les informations agrégées des incidents reportés sont
 utilisées pour déterminer si une faille donnée est répandue, s'il y a un nouveau
 ver dans la nature, quels nouveaux outils d'attaque sont utilisés. Cette
 information est utilisé pour fournir à la communauté Internet des informations
 sur les <url id="http://www.cert.org/current/"; name="activités actuelles des
 	    incidents de sécurité"> et pour publier des 
 <url id="http://www.cert.org/incident_notes/"; name="notes d'incident"> et même
 des <url id="http://www.cert.org/advisories/"; name="alertes">. 
 Pour des informations plus détaillées sur la façon (et les raisons) de rendre
 compte d'un incident, veuillez lire les <url id="http://www.cert.org/tech_tips/incident_reporting.html";
 name="règles de compte-rendu d'incident du CERT">.
 
 <p>Vous pouvez également utiliser un mécanisme moins formel si vous avez besoin
 d'aide pour récupérer un système compromis ou si vous voulez discuter d'informations
 d'incident. Cela inclut la
 <url id="http://marc.theaimsgroup.com/?l=incidents"; name="liste de diffusion des
 	    incidents"> et la
 <url id="http://marc.theaimsgroup.com/?l=intrusions"; name="liste de diffusion
 	    des intrusions">.
 
-<sect>Analyse post-mortem
+<sect>Analyse post mortem
 <p>Si vous souhaitez rassembler plus d'informations, le paquet
 <package>tct</package> (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient
-des utilitaires qui effectuent une analyse «&nbsp;post-mortem&nbsp;» d'un système.
-<package>Tct</package> permet à l'utilisateur de collecter des informations sur 
-les fichiers effacés, les processus qui s'exécutent et plus. Voir la documentation
-incluse pour plus d'informations. Vous pouvez également regarder les paquets semblables
-<url name="Sleuthkit and Autopsy" id="http://www.sleuthkit.org/";> par Brian Carrier.
+des utilitaires qui effectuent une analyse post mortem d'un système.
+<package>Tct</package> permet à l'utilisateur de collecter des
+informations sur les fichiers effacés, les processus qui s'exécutent
+et plus. Consultez la documentation ci-incluse pour plus d'informations.
+Ces utilitaires, ainsi que quelques autres, peuvent être retrouvés dans
+les paquets
+<url name="Sleuthkit et Autopsy" id="http://www.sleuthkit.org/";> de
+Brian Carrier. Ils permettent l'analyse post mortem d'une image des
+disques via une interface Web. Dans Debian, vous trouverez les paquets
+<package>sleuthkit</package> (les outils) et <package>autopsy</package>
+(l'interface graphique).
+
+<p>N'oubliez pas que l'analyse post mortem devrait toujours être faite
+sur une copie des données et <em>jamais</em> sur les données elles-mêmes.
+Si ces dernières sont altérées par cette analyse, vous pourriez perdre
+des indices importants pour comprendre ce qui s'est passé exactement,
+en plus de rendre les preuves potentiellement non recevables en cour.
+
+<p>Vous trouverez plus d'informations sur les analyses post mortem dans
+le livre <url id="http://www.porcupine.org/forensics/forensic-discovery/";
+name="Forensic Discovery"> (disponible en ligne) de Dan Farmer's et
+Wietse Venema, ainsi que leur
+<url id="http://www.porcupine.org/forensics/column.html";
+name="Computer Forensics Column"> et leur
+<url id="http://www.porcupine.org/forensics/handouts.html";
+name="Computer Forensic Analysis Class handouts">.
+Les bulletins de Brian Carrier
+<url id="http://www.sleuthkit.org/informer/index.php";
+name="The Sleuth Kit Informer">
+est également une très bonne source de trucs pour les analyses
+post mortem, même s'il n'y a plus eu de bulletin depuis mai 2006.
+Finalement, le
+<url id="http://www.honeynet.org/misc/chall.html"; name="Honeynet Challenges">
+est une excellente façon de peaufiner vos compétences en analyse
+post mortem puisqu'ils incluent des attaques réelles contre des
+<em>honeypot</em> et procurent des défis qui vont de l'analyse
+post mortem de disques durs à l'analyse des journaux des pare-feux
+et la capture de paquets.
+
+<p>FIXME: Ce paragraphe fournira, dans un avenir proche je l'espère,
+plus d'informations sur l'analyse post mortem d'un système Debian.
+
+<p>FIXME: Décrire comment utiliser debsums sur un système stable avec
+les md5sums sur un CD-ROM et le système de fichiers récupéré
+restauré sur une partition séparée.
+
+<p>FIXME: Ajouter des liens vers des articles d'analyse post mortem
+(tel que le défi inversé de Honeynet ou les
+<url id="http://staff.washington.edu/dittrich/";
+name="articles de David Dittrich">).
 
-<p>D'autres outils pouvant être utilisés pour analyse post-mortem sont inclus
-dans la distribution Debian&nbsp;:
+<sect1>Analyse des programmes malveillants (malware)
+
+<p>D'autres outils pouvant être utilisés pour l'analyse post mortem sont
+disponibles pour la distribution Debian&nbsp;:
 
 <list>
-<item><package>fenris</package>,
 <item><package>strace</package>,
 <item><package>ltrace</package>.
 </list>
 
 <p>L'un de ces paquets peut être utilisé pour analyser des binaires dangereux
 (comme des portes dérobées) afin de déterminer comment ils fonctionnent et ce
-qu'ils font au système. Plusieurs outils standard incluent <prgn>ldd</prgn>
-(dans <package>libc6</package>), <prgn>strings</prgn> et
+qu'ils font au système. Parmi les autres outils fréquemment utilisés, nous
+retrouvons <prgn>ldd</prgn> (dans <package>libc6</package>), <prgn>strings</prgn> et
 <prgn>objdump</prgn> (tous deux dans <package>binutils</package>).
 
-<p>Si vous essayez de faire une analyse post-mortem avec des portes dérobées ou
-des binaires suspects récupérés de systèmes compromis, vous devriez le faire
-dans un environnement sécurisé (par exemple dans une image <package>bochs</package>,
-<package>plex86</package> ou <package>xen</package> ou un environnement <prgn>chroot</prgn>é en utilisant
-un utilisateur avec des privilèges bas). Sinon votre propre système peut être
-victime de la porte dérobée et également contaminé&nbsp;!
-
-<p>L'analyse post-mortem devrait toujours être faite sur une copie de sauvegarde
-des données, <em>jamais</em> sur les données elles-même car elles pourraient être
-altérées par cette analyse (et toutes les preuves perdues).
-
-<p>FIXME. Ce paragraphe fournira, je l'espère plus d'informations sur la
-"médecine légale" <!-- AA Analyse post-mortem ? (forensics)--> sur un système Debian dans
-un futur proche.
-
-<p>FIXME: décrire comment faire des debsums sur un système stable avec md5sums
-sur un CD-ROM et avec le système de fichiers récupérés restaurés sur une partition 
-séparée
-
-<p>FIXME ajouter des liens vers des articles d'analyse post-mortem (comme le
-challenge inversé de Honeynet ou les <url id="http://staff.washington.edu/dittrich/";
-name="papiers de David Dittrich">).
+<p>Si vous essayez de faire l'autopsie de binaires suspects ou contenant des
+portes dérobées récupérés d'un système compromis, vous devriez le faire
+dans un environnement sécurisé (par exemple, dans une image <package>bochs</package>,
+<package>xen</package> ou un environnement <prgn>chroot</prgn>é en utilisant
+un compte ayant peu de privilèges<footnote>Faites <em>très</em> attention
+si vous utilisez <prgn>chroot</prgn>, car si le programme utilise une
+faille de sécurité au niveau du noyau afin d'accroître ses droits, il
+pourrait tout de même réussir à compromettre le système.</footnote>).
+Sinon, votre système pourrait être victime de la porte dérobée et compromis
+à son tour&nbsp;!
+
+<p>Si vous êtes intéressé par les programmes malveillants, alors vous
+devriez lire le chapitre
+<url id="http://www.porcupine.org/forensics/forensic-discovery/chapter6.html";
+name="Malware Analysis Basics"> du livre
+<url id="http://www.porcupine.org/forensics/forensic-discovery/";
+name="Forensic Discovery"> de Dan Farmer et Wietse Venema.
+
+

Reply to: